可搜索加密機(jī)制研究

李 雪，羅圣美，董振江，蔣孝雯，孫知信

(1.南京郵電大學(xué) 寬帶無線通信與傳感網(wǎng)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室,江蘇 南京 210003；2.中興通訊股份有限公司,江蘇 南京 210012)

可搜索加密機(jī)制研究

李 雪1，羅圣美2，董振江2，蔣孝雯1，孫知信1

(1.南京郵電大學(xué) 寬帶無線通信與傳感網(wǎng)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室,江蘇 南京 210003；2.中興通訊股份有限公司,江蘇 南京 210012)

隨著云存儲(chǔ)技術(shù)的發(fā)展，越來越多的企業(yè)及個(gè)人將加密后的私有數(shù)據(jù)外包給云服務(wù)器，因此，對(duì)云服務(wù)器中加密數(shù)據(jù)的有效檢索成為用戶在選擇云服務(wù)時(shí)關(guān)注的重點(diǎn)。通過分析國(guó)內(nèi)外可搜索加密機(jī)制的研究成果，歸納了最新的可搜索加密技術(shù)，對(duì)現(xiàn)有的研究方法進(jìn)行分類，包括支持關(guān)鍵字的可搜索加密機(jī)制、面向不同加密方式的可搜索加密機(jī)制和其他類的可搜索加密機(jī)制。分別分析總結(jié)了現(xiàn)有的不同的改進(jìn)方法及其優(yōu)缺點(diǎn)，特別研究分析了各類中最新的研究進(jìn)展。對(duì)可搜索加密機(jī)制現(xiàn)階段研究仍存在的信息泄露、實(shí)用性差以及搜索效率較低等問題進(jìn)行了總結(jié)，并闡明了其未來可研究的方向。

云服務(wù)器；可搜索加密機(jī)制；公鑰加密；對(duì)稱加密

0 引 言

現(xiàn)如今，云存儲(chǔ)已被越來越多的IT公司所接受，作為其存儲(chǔ)數(shù)據(jù)的解決方案。通過網(wǎng)絡(luò)，用戶可以將數(shù)據(jù)存儲(chǔ)在云服務(wù)器中。如今已有數(shù)百萬的用戶通過基于云存儲(chǔ)的公共網(wǎng)絡(luò)與他們的朋友分享照片、視頻等信息。商業(yè)用戶也因其低價(jià)、高靈敏性、能夠更好地利用資源等特點(diǎn)被深深吸引。包括IBM，EMC，Microsoft，Amazon等國(guó)際大型軟件公司，都提供了基于“云”的解決方案，并在不斷擴(kuò)充和革新。最近國(guó)內(nèi)的百度、騰訊、阿里巴巴等互聯(lián)網(wǎng)公司，也分別發(fā)起了自己的云戰(zhàn)略。

然而，當(dāng)用戶把數(shù)據(jù)外包給云服務(wù)器之后，用戶便沒有辦法再控制他們的數(shù)據(jù)。所以，云存儲(chǔ)的安全問題成為云用戶關(guān)注的重點(diǎn)。為了保證用戶數(shù)據(jù)的隱私性，阻止數(shù)據(jù)被未授權(quán)的用戶或攻擊者所竊取，用戶數(shù)據(jù)應(yīng)該先加密，然后再存儲(chǔ)到云服務(wù)器中。面對(duì)云服務(wù)器當(dāng)中大量的加密數(shù)據(jù)，如何有效檢索用戶所需的數(shù)據(jù)已成為當(dāng)前研究的熱點(diǎn)問題。文中對(duì)可搜索加密機(jī)制進(jìn)行研究，針對(duì)現(xiàn)有的研究方法對(duì)其進(jìn)行分類，分別分析了支持關(guān)鍵詞、加密以及其余的可搜索加密機(jī)制的研究進(jìn)展及其優(yōu)缺點(diǎn)，對(duì)其進(jìn)行總結(jié)并對(duì)可搜索加密機(jī)制未來的發(fā)展趨勢(shì)做出展望。

1 可搜索加密機(jī)制研究

文獻(xiàn)[1]最早提出了可搜索加密的概念，可搜索加密(Searchable Encryption，SE)是一種新型的密碼體制，主要解決當(dāng)數(shù)據(jù)加密存儲(chǔ)在云端時(shí)，服務(wù)器不完全可信的前提下如何利用服務(wù)器來完成安全的關(guān)鍵詞搜索的問題。它不僅保證數(shù)據(jù)接收方的隱私，同時(shí)提供了一種方法使用戶無須對(duì)數(shù)據(jù)進(jìn)行解密就能快速有效地進(jìn)行搜索操作，以獲得所需要的信息。現(xiàn)如今對(duì)SE加密機(jī)制的研究有很多，文中對(duì)相關(guān)文獻(xiàn)進(jìn)行分類總結(jié)，主要的研究思路如圖1所示。

圖1 可搜索加密機(jī)制研究?jī)?nèi)容

1.1 基于關(guān)鍵詞的研究

現(xiàn)階段，對(duì)支持關(guān)鍵詞可搜索加密機(jī)制的研究主要分為四個(gè)方面：?jiǎn)蝹€(gè)關(guān)鍵詞可搜索加密機(jī)制、多個(gè)關(guān)鍵詞可搜索加密機(jī)制、連接關(guān)鍵詞可搜索加密機(jī)制以及模糊關(guān)鍵詞可搜索加密機(jī)制。

在加密文檔中實(shí)現(xiàn)單個(gè)關(guān)鍵詞搜索的方法在較早的時(shí)候便已提出，而且已存在很多證明過的單個(gè)關(guān)鍵詞的可搜索加密機(jī)制。在單個(gè)關(guān)鍵詞可搜索加密機(jī)制中，用戶可以通過關(guān)鍵字查詢判斷文檔中是否包含所要查詢的關(guān)鍵字。文獻(xiàn)[2]提出了一種單關(guān)鍵字可搜索加密機(jī)制，用戶可以在不了解全部?jī)?nèi)容或者文件中有其他關(guān)鍵字的情況下決定文件是否包含一個(gè)特定關(guān)鍵字。該機(jī)制使用了中國(guó)剩余定理和一個(gè)單向函數(shù)用于存儲(chǔ)關(guān)鍵字和驗(yàn)證目標(biāo)。其優(yōu)點(diǎn)是十分簡(jiǎn)單，不需大量計(jì)算，同時(shí)加密的工作量不會(huì)隨著關(guān)鍵字出現(xiàn)次數(shù)的增大而增大。但是，其并未考慮到在不同的文件當(dāng)中可能含有相同的關(guān)鍵字的情況，這就使得用戶可能在檢索過程中查得的結(jié)果不只一個(gè)，還需對(duì)大量的搜索結(jié)果進(jìn)行進(jìn)一步篩選才能找到自己想要的內(nèi)容，降低了檢索效率。

與單關(guān)鍵詞可搜索加密不同，多關(guān)鍵詞可搜索加密因?yàn)橛卸鄠€(gè)關(guān)鍵詞限制查找文檔的范圍，可以較快地找到用戶要搜索的數(shù)據(jù)，效率較高。現(xiàn)階段對(duì)于多關(guān)鍵字可搜索加密的研究很少，這是一個(gè)新的研究方向。文獻(xiàn)[3]最早提出了多重可搜索加密關(guān)鍵字的概念并提出了第一個(gè)可行機(jī)制。該機(jī)制以雙線性對(duì)映射及C/S模型為基礎(chǔ)，以含有不同關(guān)鍵字的不同文件為前提條件來避免服務(wù)器上的攻擊。它隱藏了數(shù)據(jù)和搜索陷門，能夠成功地將用戶陷門轉(zhuǎn)化為多重搜索。但由于該機(jī)制是建立在隨機(jī)預(yù)言模型的基礎(chǔ)上驗(yàn)證其安全性，很難找到理想的散列函數(shù)模型加以實(shí)際應(yīng)用。文獻(xiàn)[4]提出一種可行、有效且沒有隨機(jī)預(yù)言的可搜索加密的新型應(yīng)用場(chǎng)景，所有用戶通過提交唯一的陷門均可以檢索所有被存儲(chǔ)在不可信服務(wù)器中的加密文檔。任何用戶可以在未來的關(guān)鍵字檢索中與其他人共享自己的個(gè)人文件。但是其并未考慮到多關(guān)鍵字檢索仍可能使得檢索的結(jié)果不準(zhǔn)確，還需要考慮到多條件的因素。

早期可搜索加密的研究機(jī)制，都限定在單個(gè)關(guān)鍵詞搜索的情形當(dāng)中，并未考慮關(guān)鍵詞的布爾組合，這成了將可搜索加密技術(shù)應(yīng)用到現(xiàn)實(shí)生活的最大阻礙。文獻(xiàn)[5]最早提出了連接關(guān)鍵字可搜索加密機(jī)制，同時(shí)提供了兩種對(duì)稱密鑰結(jié)構(gòu)。但是這種機(jī)制的缺陷在于陷門規(guī)模在服務(wù)器上存儲(chǔ)的數(shù)據(jù)總量是線性的，使得該機(jī)制在很多設(shè)定中不實(shí)用。文獻(xiàn)[6]提出一種使用雙線性的有效結(jié)構(gòu)，雙線性有連續(xù)規(guī)模的陷門，需要在搜索文件時(shí)執(zhí)行成對(duì)操作。這種結(jié)構(gòu)比起文獻(xiàn)[5]在通信成本上更有效，但是對(duì)每個(gè)文件加密所花費(fèi)的計(jì)算成本更大。因?yàn)閷?duì)文件加密要求執(zhí)行的成對(duì)操作要和相關(guān)總體關(guān)鍵字?jǐn)?shù)量一樣多。文獻(xiàn)[7]提出一種有效的連接關(guān)鍵詞可搜索加密方案，使陷門問題規(guī)模與單一關(guān)鍵字搜索幾乎相同。在隨機(jī)預(yù)言模型中的外部co-Diffie-Hellman假設(shè)下，該模型對(duì)于適應(yīng)性選擇關(guān)鍵字攻擊安全性較高并且該機(jī)制花費(fèi)的計(jì)算和通信成本更少。

單個(gè)關(guān)鍵詞可搜索加密、多個(gè)關(guān)鍵詞可搜索加密以及連接關(guān)鍵詞可搜索加密機(jī)制都是在輸入精確關(guān)鍵詞的情形下研究的可搜索加密機(jī)制。而模糊關(guān)鍵詞搜索可以容忍用戶輸入中含有的微小錯(cuò)誤和存在的形式不一致，極大地提高了系統(tǒng)可用性和用戶搜索體驗(yàn)。文獻(xiàn)[8]描述了一種新的通用的可搜索加密原函數(shù)和安全模型。該機(jī)制允許對(duì)加密數(shù)據(jù)采用一些近似關(guān)鍵字進(jìn)行搜索。使用這種機(jī)制時(shí)，對(duì)安全數(shù)據(jù)庫進(jìn)行有效請(qǐng)求以通過近似的估算得到精準(zhǔn)的數(shù)據(jù)。這是第一個(gè)服務(wù)于容錯(cuò)可搜索加密和基于加密個(gè)人數(shù)據(jù)的生物識(shí)別身份認(rèn)證協(xié)議的機(jī)制。但是其忽略了對(duì)搜索結(jié)果完整性的驗(yàn)證，使得搜索效率相對(duì)較低。文獻(xiàn)[9]提出了一種基于混合云模型的可驗(yàn)證語義模糊可搜索加密方案，彌補(bǔ)了目前大多數(shù)可搜索加密方案不能進(jìn)行語義模糊搜索的不足，使其能夠應(yīng)對(duì)“不誠(chéng)實(shí)且好奇”的服務(wù)器威脅。同時(shí)，實(shí)現(xiàn)了對(duì)搜索結(jié)果的驗(yàn)證，在確保搜索結(jié)果完整的同時(shí)也提高了搜索效率。

綜上對(duì)基于關(guān)鍵詞的可搜索加密機(jī)制的研究可知：針對(duì)多個(gè)關(guān)鍵詞的可搜索加密要比單個(gè)關(guān)鍵詞的可搜索加密搜索效率更高。當(dāng)用戶要通過云服務(wù)器檢索所需的數(shù)據(jù)時(shí)，可以通過檢索多個(gè)關(guān)鍵詞限制檢索范圍，使得檢索得到的結(jié)果更精確。多關(guān)鍵詞的可搜索加密機(jī)制可以進(jìn)一步考慮檢索時(shí)多條件因素，進(jìn)一步提高檢索效率。連接關(guān)鍵詞可搜索加密機(jī)制，考慮關(guān)鍵詞的布爾組合，使得可搜索加密機(jī)制可以很好地應(yīng)用到日常生活當(dāng)中。為了使其更好地應(yīng)用到生產(chǎn)、生活中，需要在健壯性和容錯(cuò)性方面進(jìn)一步改進(jìn)。模糊關(guān)鍵詞可搜索加密不同于其他三種加密機(jī)制，考慮了用戶輸入關(guān)鍵詞不精確的情況，可以在一定范圍內(nèi)容忍用戶輸入差錯(cuò)，提高了可搜索加密技術(shù)的實(shí)用性。

1.2 基于加密的研究

現(xiàn)階段針對(duì)加密方法的可搜索加密機(jī)制的研究分為：公鑰可搜索加密機(jī)制和對(duì)稱可搜索加密機(jī)制。其中，公鑰可搜索加密機(jī)制(即非對(duì)稱可搜索加密[10])使用兩種密鑰：公鑰用于明文信息的加密和目標(biāo)密文的檢索，私鑰用于解密密文信息和生成關(guān)鍵詞陷門。公鑰(非對(duì)稱)可搜索加密算法通常較為復(fù)雜，加解密速度較慢，但是其具有公私鑰相互分離的特點(diǎn)。公鑰(非對(duì)稱)加密模型如圖2所示。

圖2 公鑰(非對(duì)稱)可搜索加密的模型

一直以來公鑰可搜索加密機(jī)制都是可搜索加密研究的重點(diǎn)。文獻(xiàn)[11]提出了可同時(shí)檢索密文關(guān)鍵詞與密文信息的可搜索加密機(jī)制。基于關(guān)鍵字搜索的公鑰加密機(jī)制允許數(shù)據(jù)所有者委托給其他用戶檢索挑選出存儲(chǔ)于外部的數(shù)據(jù)中的關(guān)鍵字。半可信第三方，也稱“代理”，需要把數(shù)據(jù)所有者(委托方)使用公鑰來計(jì)算的密文轉(zhuǎn)換為能使用其他用戶(受托方)的私鑰被解密，這個(gè)私鑰是使用數(shù)據(jù)產(chǎn)生的重加密生成的。在關(guān)鍵字搜索的公鑰加密機(jī)制基礎(chǔ)上，文獻(xiàn)[12]提出了一種支持對(duì)關(guān)鍵詞進(jìn)行交集搜索的公鑰可搜索加密機(jī)制，提高了搜索效率。文獻(xiàn)[13]提出了基于授權(quán)的公鑰可搜索加密機(jī)制，在其構(gòu)造的方案中，用戶可以生成授權(quán)信息給特定的服務(wù)器，該服務(wù)器可以利用授權(quán)信息在不解密密文的情況下進(jìn)行搜索。但是其在安全模型及效率方面均需要進(jìn)一步提高。文獻(xiàn)[14]通過關(guān)鍵字搜索的公鑰加密對(duì)加密數(shù)據(jù)進(jìn)行關(guān)鍵字搜索。這些加密數(shù)據(jù)是通過產(chǎn)生陷門而得到所需的關(guān)鍵字。該文獻(xiàn)定義和實(shí)施了兩個(gè)原函數(shù)：關(guān)鍵字搜索公鑰加密界限值函數(shù)(TPEKS)和分發(fā)私鑰匿名身份加密函數(shù)((n,t)-IBE)。TPEKS是對(duì)關(guān)鍵字搜索的公鑰加密在分發(fā)過程中產(chǎn)生陷門方面的擴(kuò)展延伸。同時(shí)，其也提供了兩種通用的轉(zhuǎn)換方式：第一種是把一個(gè)匿名的IBE機(jī)制轉(zhuǎn)換成一個(gè)匿名的(n,t)-IBE；第二種是將一個(gè)(n,t)-IBE機(jī)制轉(zhuǎn)換成安全的TPEKS機(jī)制。但是在實(shí)際應(yīng)用中，調(diào)查員可能想要得到模糊的關(guān)鍵字，而該機(jī)制不能解決這個(gè)問題。文獻(xiàn)[15]介紹和提出了一個(gè)新的時(shí)間釋放可搜索加密(TRSE)理念，用來解決時(shí)間敏感的密文檢索問題。文獻(xiàn)以公鑰時(shí)間釋放可搜索加密(PKTRSE)為核心展開研究并建立了PKTRSE模型。發(fā)送方對(duì)一條信息加密，因此只有預(yù)期接收者能夠搜索包含特定關(guān)鍵字的目標(biāo)密文，其中關(guān)鍵字是提前設(shè)定好在將來釋放時(shí)間之后產(chǎn)生。另外給出了兩種PKTRSE結(jié)構(gòu)機(jī)制：一個(gè)通用機(jī)制和一個(gè)固定機(jī)制。這兩種機(jī)制在隨機(jī)語言模型里的BDH假設(shè)下都是安全的，并且得到了很好的應(yīng)用。文獻(xiàn)[16]分析了3種可搜索解密機(jī)制[17-19]，并挑選了在數(shù)據(jù)存儲(chǔ)環(huán)境下最合適的機(jī)制。然后，通過消除冗余陷門生成算法以及簡(jiǎn)化相關(guān)解密算法降低了計(jì)算復(fù)雜度，提高了代理重加密機(jī)制的效率。

對(duì)稱可搜索加密[1]的構(gòu)造通常基于偽隨機(jī)函數(shù)，具有計(jì)算開銷小、算法簡(jiǎn)單、速度快的特點(diǎn)，除了加解密過程采用相同的密鑰外，其陷門生成也需密鑰的參與。對(duì)稱加密模型如圖3所示

圖3 對(duì)稱可搜索加密的模型

由圖2和圖3可知，公鑰可搜索加密與對(duì)稱可搜索加密不同的是，數(shù)據(jù)的加密都利用了共享者的公鑰，因此整個(gè)過程中，數(shù)據(jù)加密者不需要與數(shù)據(jù)共享者進(jìn)行交互。傳統(tǒng)的對(duì)稱可搜索加密方法包括SWP[1]，Z-IDX[20]，PPSED[21],SSE-1、SSE-2[22]，VanLiesdonk[23]。文獻(xiàn)[24]提出了一種用于獲得指數(shù)和陷門的不可分辨性的有效對(duì)稱可搜索加密算法。另外還引入了一種最新的定義限制，當(dāng)數(shù)據(jù)庫中每個(gè)單元加密后產(chǎn)生不可分辨性從而用于可搜索加密。該可搜索加密算法是第一個(gè)能同時(shí)滿足高效和不可分辨性(安全性)的算法。文獻(xiàn)[25]致力于對(duì)稱可搜索加密運(yùn)算速度及計(jì)算量的研究，使得運(yùn)算速度更快、計(jì)算量更少。但是其忽略了對(duì)稱可搜索加密算法的安全性對(duì)其性能的影響。文獻(xiàn)[26]提出一種動(dòng)態(tài)可搜索對(duì)稱加密機(jī)制，允許客戶端存儲(chǔ)一個(gè)動(dòng)態(tài)服務(wù)器加密文件的匯總，之后在這些加密文檔上迅速執(zhí)行關(guān)鍵詞搜索，同時(shí)展現(xiàn)最少的信息給服務(wù)器。文獻(xiàn)建立的原型演示了其在數(shù)據(jù)集不同于以往研究的效率，其不要求服務(wù)器提供除上傳和下載數(shù)據(jù)以外的任何操作。因此，該機(jī)制中的服務(wù)器能單獨(dú)基于云存儲(chǔ)服務(wù)，而不是云計(jì)算服務(wù)。在建立動(dòng)態(tài)SSE機(jī)制過程中介紹了一個(gè)叫BlindStorage的新原語,允許一個(gè)客戶端存儲(chǔ)一個(gè)文件集在一個(gè)遠(yuǎn)程服務(wù)器上。在這種方式中，服務(wù)器不了解有多少文件被存儲(chǔ)，或者是每個(gè)文件的長(zhǎng)度。當(dāng)文件被檢索時(shí)，服務(wù)器才了解到其存在，但是文件的內(nèi)容及名稱沒有被顯示。缺陷在于對(duì)抗不可信服務(wù)器時(shí)無法保證安全，同時(shí)不能支持多關(guān)鍵字搜索。

綜上對(duì)可搜索加密的總結(jié)分析可知：對(duì)公鑰可搜索加密的研究除了提高其安全性之外，還結(jié)合基于關(guān)鍵詞可搜索加密技術(shù)，實(shí)現(xiàn)支持對(duì)關(guān)鍵詞進(jìn)行交集搜索的公鑰可搜索加密方案，提高了公鑰可搜索加密方案的搜索效率。對(duì)對(duì)稱可搜索加密機(jī)制的研究實(shí)現(xiàn)了動(dòng)態(tài)管理，方便文件的管理，減少了服務(wù)器的工作量。另外，現(xiàn)有的文獻(xiàn)研究已經(jīng)實(shí)現(xiàn)了對(duì)稱可搜索加密的高效性和安全性，證明了可搜索加密技術(shù)可以更好地應(yīng)用到云服務(wù)當(dāng)中，給用戶帶來便利。

1.3 其余可搜索加密機(jī)制的研究

可搜索加密機(jī)制還有其余廣泛的研究?jī)?nèi)容和范圍。在可搜索加密機(jī)制研究的早期文獻(xiàn)中，對(duì)密文檢索順序的排序[27]、密文檢索中的密文范圍檢索[28-30]、可搜索加密方案中可能存在的關(guān)鍵詞猜測(cè)攻擊[31]、全同態(tài)加密技術(shù)[32]等方面進(jìn)行了研究。其中，文獻(xiàn)[32]中提出的全同態(tài)加密技術(shù)中服務(wù)器并不需要對(duì)密文進(jìn)行解密，可以直接對(duì)密文進(jìn)行操作。從功能上進(jìn)一步增加了可搜索加密技術(shù)的應(yīng)用前景，但是目前全同態(tài)加密技術(shù)從效率上還不夠?qū)嶋H。

近年來，對(duì)可搜索加密機(jī)制的研究主要集中于多用戶可搜索加密機(jī)制、基于屬性的可搜索加密機(jī)制、指定測(cè)試者身份、具有匿名性的可搜索加密機(jī)制等方面。文獻(xiàn)[33]考慮了多用戶請(qǐng)求場(chǎng)景，提出了基于雙線性映射的實(shí)用性解決方案。該機(jī)制允許系統(tǒng)中任何人產(chǎn)生加密數(shù)據(jù)及關(guān)鍵字，任何人都可以用任何關(guān)鍵字進(jìn)行搜索。但是該機(jī)制沒有考慮訪問控制的臨界需求。

文獻(xiàn)[34]提出了一個(gè)新的粗粒度訪問控制的概念，并且用它來構(gòu)造一個(gè)在混合云中的多用戶可搜索加密模型。該構(gòu)造中使用了兩種典型機(jī)制，一種是廣播加密(BE)機(jī)制來簡(jiǎn)化訪問控制，另一種是單一用戶可搜索加密機(jī)制，它能支持兩相操作，當(dāng)不信任服務(wù)器與對(duì)手合謀時(shí)這種機(jī)制是安全的。另外使用一個(gè)改進(jìn)的可搜索對(duì)稱加密機(jī)制來實(shí)施一種實(shí)用的機(jī)制，該機(jī)制是安全的。 文獻(xiàn)[35]提出一個(gè)一對(duì)多的公鑰時(shí)間釋放加密(PKTRSE)原型系統(tǒng)，稱為多用戶PKTRSE(MUPKTRSE)。在一對(duì)一PKTRSE中，發(fā)送方把加密消息轉(zhuǎn)化給服務(wù)器并且讓消息在釋放一定時(shí)間后被特定接收方搜索和解密。當(dāng)這種PKTRSE應(yīng)用于在同樣的釋放時(shí)間內(nèi)為成倍增加的接收者加密消息，它的密文規(guī)模取決于用戶規(guī)模。PKTRSE能解決時(shí)間依賴密文檢索問題。文獻(xiàn)[36]提出一種針對(duì)多用戶設(shè)置的可搜索加密技術(shù)，該技術(shù)加入了訪問控制這一新的要求。Ciphertext-Policy Attribute-Based Encryption (CP-ABE)可以有效解決此問題。文獻(xiàn)實(shí)現(xiàn)了對(duì)云存儲(chǔ)的訪問控制。關(guān)鍵詞的索引以及陷門的生成是通過代理服務(wù)器實(shí)現(xiàn)的。為了實(shí)現(xiàn)有效的訪問控制，第一個(gè)搜索數(shù)據(jù)的解決方案是一個(gè)用戶可以使用偏序關(guān)系解密并且設(shè)計(jì)一種新的方法認(rèn)證每一個(gè)用戶的屬性，而不需要公開用戶的身份與屬性之間的關(guān)系。為了減少解開銷，該機(jī)制中用戶把大部分的CP-ABE解密工作委托給代理服務(wù)器。文獻(xiàn)[37]提出了一種改進(jìn)的基于代理重加密的新型多用戶可搜索加密機(jī)制。該機(jī)制中，密鑰是再加密的，訪問控制策略用來做重加密密鑰以實(shí)現(xiàn)可區(qū)分的搜索，更好地撤銷了權(quán)限控制。數(shù)據(jù)索引結(jié)構(gòu)的設(shè)計(jì)是基于對(duì)云存儲(chǔ)系統(tǒng)的實(shí)際物理結(jié)構(gòu)的考慮，實(shí)現(xiàn)了更高的效率和更好的實(shí)用性。在新機(jī)制中，降低了客戶端的計(jì)算開銷。

基于屬性加密的目的是提供對(duì)加密數(shù)據(jù)的細(xì)粒度訪問控制，這個(gè)概念由文獻(xiàn)[38]提出。主要有兩種：密文策略屬性加密(CP-ABE)[39]和關(guān)鍵字策略屬性加密(KP-ABE)[40]。密文策略屬性加密中，數(shù)據(jù)所有者能夠定義一個(gè)訪問策略并在該策略下對(duì)對(duì)自己的數(shù)據(jù)進(jìn)行加密。每個(gè)用戶被指定一系列嵌入用戶私鑰的屬性。用戶只能在自己的屬性與訪問策略相匹配時(shí)才能解密密文。文獻(xiàn)[41]針對(duì)特定環(huán)境下對(duì)加密數(shù)據(jù)進(jìn)行檢索的難題，給出了基于屬性的可搜索方案(ATT-PEKS)的定義及算法，該算法能夠適應(yīng)群組的公鑰加密搜索，更大程度地共享信息，同時(shí)節(jié)省信息存儲(chǔ)所需空間。文獻(xiàn)[42]對(duì)指定測(cè)試者的基于身份可搜索加密方案進(jìn)行研究，提出了基于身份密碼系統(tǒng)下的指定測(cè)試者可搜索加密方案的定義和安全需求，并設(shè)計(jì)了一個(gè)高效的新方案，能夠有效抵御離線關(guān)鍵字猜測(cè)攻擊。文獻(xiàn)[43]提出一種基于匿名性的基于身份可搜索加密方案(ANOIBEK)的定義和構(gòu)造算法，對(duì)關(guān)鍵字信息以及消息查詢方信息進(jìn)行保護(hù)。該加密方案在隨機(jī)預(yù)言機(jī)模型(Random Oracle)下是選擇關(guān)鍵詞攻擊語義安全的(IND-CPA)。

綜上對(duì)可搜索加密技術(shù)的總結(jié)和分析可知，現(xiàn)如今在不同的方向上均實(shí)現(xiàn)了對(duì)可搜索加密技術(shù)的改進(jìn)，而這些改進(jìn)使得可搜索加密技術(shù)搜索效率更高、安全性更好，可以實(shí)現(xiàn)多用戶檢索、基于屬性可搜索加密、保護(hù)關(guān)鍵字及用戶信息等等。這些改進(jìn)使得可搜索加密技術(shù)可以更好地應(yīng)用到用戶在云服務(wù)器上搜索數(shù)據(jù)的過程中，使得云服務(wù)更可靠。但是若要將可搜索加密應(yīng)用到日常生活中，使得更多的用戶選擇將自己的私密數(shù)據(jù)存放到云服務(wù)器中，除了安全性與高效性之外還要保證其健壯性。文獻(xiàn)[44]通過考慮數(shù)字和非數(shù)字?jǐn)?shù)據(jù)，提出一種健壯的可搜索的加密機(jī)制用于云計(jì)算中的數(shù)據(jù)外包，并且為云計(jì)算提供一些容錯(cuò)可用性，使得其可以更好地為用戶服務(wù)。

2 結(jié)束語

在研究了大量可搜索加密機(jī)制的基礎(chǔ)上，對(duì)可搜索加密機(jī)制的研究方法進(jìn)行分類，包括：支持關(guān)鍵字的可搜索加密機(jī)制、面向不同加密方式的可搜索加密機(jī)制和其他類的可搜索加密機(jī)制。分別總結(jié)了不同的改進(jìn)方法及其優(yōu)缺點(diǎn)，特別研究分析了各類中最新的研究進(jìn)展。通過以上的總結(jié)、分析可以看出：SE機(jī)制是解決云存儲(chǔ)中的安全問題的研究熱點(diǎn)之一，有利于云存儲(chǔ)技術(shù)的普及。另外，通過對(duì)SE研究情況進(jìn)行的總結(jié)和分析，可以了解到SE研究中值得深入研究的問題，包括：

(1)目前應(yīng)用于密文搜索的可搜索加密技術(shù)都是確定性加密，如果保持關(guān)鍵字的相關(guān)特征，保持關(guān)鍵字在密文中的存儲(chǔ)位置，保證加密后的大小關(guān)系，這些均存在信息泄露問題，另外也存在消息查詢方身份泄露的問題。

(2)基于索引的密文搜索算法的索引構(gòu)建大部分是靜態(tài)的，即不能隨著數(shù)據(jù)的增刪進(jìn)行動(dòng)態(tài)更新，這就降低了其實(shí)用性。另外，在面臨多用戶的情況時(shí)，還要考慮進(jìn)行用戶的添加及刪除的情況，包括對(duì)其訪問權(quán)限及密鑰的管理及處理。

(3)在用戶進(jìn)行搜索時(shí)，用戶仍需要在一定數(shù)量的搜索結(jié)果中再次進(jìn)行搜索，找出自己想要查詢的內(nèi)容，降低了搜索效率。現(xiàn)階段對(duì)該問題的解決方法的研究，或側(cè)重多個(gè)關(guān)鍵字，或側(cè)重多條件考慮，比較片面，不夠完善，而且忽略了在不同的查詢文件中關(guān)鍵字出現(xiàn)頻率相同的情況。

[1] Song D X,Wagner D,Perrig A.Practical techniques for searches on encrypted data[C]//Proceedings of IEEE symposium on security and privacy.[s.l.]:IEEE,2000:44-55.

[2] Premasathian N,Choto S.Searchable encryption schemes:with multiplication and simultaneous congruences[C]//9th international conference on information security and cryptology.[s.l.]:IEEE,2012:147-150.

[3] Popa R A, Zeldovich N. Multi-key searchable encryption[R].[s.l.]:[s.n.],2013.

[4] Yang J,Liu Z,Li J,et al.Multi-key searchable encryption without random oracle[C]//International conference on intelligent networking and collaborative systems.[s.l.]:IEEE,2014:79-84.

[5] Golle P, Staddon J, Waters B. Secure conjunctive keyword search over encrypted data[C]//Applied cryptography and network security.Berlin:Springer,2004:31-45.

[6] Byun J W, Lee D H,Lim J. Efficient conjunctive keyword search on encrypted data storage system[M]//Public key infrastructure.Berlin:Springer,2006:184-196.

[7] Ryu E K,Takagi T.Efficient conjunctive keyword-searchable encryption[C]//21st international conference on advanced information networking and applications workshops.[s.l.]:IEEE,2007:409-414.

[8] Bringer J,Chabanne H,Kindarji B.Error-tolerant searchable encryption[C]//IEEE international conference on communications.[s.l.]:IEEE,2009:1-6.

[9] 林柏鋼,吳 陽,楊 旸,等.云計(jì)算中可驗(yàn)證的語義模糊可搜索加密方案[J].四川大學(xué)學(xué)報(bào):工程科學(xué)版,2014(6):1-6.

[10] Boneh D,Di Crescenzo G,Ostrovsky R,et al.Public key encryption with keyword search[C]//Advances in cryptology-Eurocrypt 2004.Berlin:Springer,2004:506-522.

[11] Zhang B, Zhang F. An efficient public key encryption with conjunctive-subset keywords search[J].Journal of Network and Computer Applications,2011,34(1):262-267.

[12] Fang L,Wang J,Ge C,et al.Decryptable public key encryption with keyword search schemes[J].JDCTA,2010,4(9):141-150.

[13] Ibraimi L,Nikova S,Hartel P,et al.Public-key encryption with delegated search[C]//Applied cryptography and network security.Berlin:Springer,2011:532-549.

[14] Siad A.Anonymous identity-based encryption with distributed private-key generator and searchable encryption[C]//5th international conference on new technologies,mobility and security.[s.l.]:IEEE,2012:1-8.

[15] Yuan K,Liu Z,Jia C,et al.Public key timed-release searchable encryption[C]//Fourth international conference on emerging intelligent data and web technologies.[s.l.]:IEEE,2013:241-248.

[16] Rahman D A,Heng S H,Yau W C,et al.Implementation of a conditional searchable encryption system for data storage[M]//Computer science and its applications.Berlin:Springer,2015:469-474.

[17] Chen X,Li Y.Efficient proxy re-encryption with private keyword searching in untrusted storage[J].International Journal of Computer Network and Information Security,2011,3(2):50-60.

[18] Juang W S,Shue Y Y.A secure and privacy protection digital goods trading scheme in cloud computing[C]//Computer symposium on ICS.[s.l.]:IEEE,2010:288-293.

[19] Wang X A,Huang X,Yang X,et al.Further observation on proxy re-encryption with keyword search[J].Journal of Systems and Software,2012,85(3):643-654.

[20] Goh E J.Secure indexes[R].[s.l.]:[s.n.],2003.

[21] Chang Y C,Mitzenmacher M.Privacy preserving keyword searches on remote encrypted data[C]//Applied cryptography and network security.Berlin:Springer,2005:442-455.

[22] Curtmola R,Garay J,Kamara S,et al.Searchable symmetric encryption:improved definitions and efficient constructions[C]//Proceedings of the 13th ACM conference on computer and communications security.[s.l.]:ACM,2006:79-88.

[23] van Liesdonk P,Sedghi S,Doumen J,et al.Computationally efficient searchable symmetric encryption[M]//Secure data management.Berlin:Springer,2010:87-100.

[24] Yoshino M,Naganuma K,Satoh H.Symmetric searchable encryption for database applications[C]//14th international conference on network-based information systems.[s.l.]:IEEE,2011:657-662.

[25] Kamara S,Papamanthou C,Roeder T.Dynamic searchable symmetric encryption[C]//Proceedings of the 2012 ACM conference on computer and communications security.[s.l.]:ACM,2012:965-976.

[26] Naveed M,Prabhakaran M,Gunter C A.Dynamic searchable encryption via blind storage[C]//IEEE symposium on security and privacy.[s.l.]:IEEE,2014:639-654.

[27] Wang C,Cao N,Li J,et al.Secure ranked keyword search over encrypted cloud data[C]//IEEE 30th international conference on distributed computing systems.[s.l.]:IEEE,2010:253-262.

[28] Hore B,Mehrotra S,Tsudik G.A privacy-preserving index for range queries[C]//Proceedings of the thirtieth international conference on very large data bases.[s.l.]:[s.n.],2004:720-731.

[29] Boneh D,Waters B.Conjunctive,subset,and range queries on encrypted data[M]//Theory of cryptography.Berlin:Springer,2007:535-554.

[30] Shi E,Bethencourt J,Chan T H H,et al.Multi-dimensional range query over encrypted data[C]//IEEE symposium on security and privacy.[s.l.]:IEEE,2007:350-364.

[31] Jeong I R,Kwon J O,Hong D,et al.Constructing PEKS schemes secure against keyword guessing attacks is possible?[J].Computer Communications,2009,32(2):394-396.

[32] Gentry C.A fully homomorphic encryption scheme[D].Stanford:Stanford University,2009.

[33] Bao F,Deng R H,Ding X,et al.Private query on encrypted data in multi-user settings[M]//Information security practice and experience.Berlin:Springer,2008:71-85.

[34] Liu Z,Wang Z,Cheng X,et al.Multi-user searchable encryption with coarser-grained access control in hybrid cloud[C]//Fourth international conference on emerging intelligent data and web technologies.[s.l.]:IEEE,2013:249-255.

[35] Yuan K,Liu Z,Jia C,et al.Multi-user public key timed-release searchable encryption[C]//Fourth international conference on emerging intelligent data and web technologies.[s.l.]:IEEE,2013:363-370.

[36] Lv Z,Zhang M,Feng D.Multi-user searchable encryption with efficient access control for cloud storage[C]//IEEE 6th international conference on cloud computing technology and science.[s.l.]:IEEE,2014:366-373.

[37] Ya-Ling Z,Kai L,Shang-Ping W,et al.A multi-users searchable encryption scheme with proxy re-encryption[C]//Tenth international conference on computational intelligence and security.[s.l.]:IEEE,2014:563-567.

[38] Sahai A,Waters B.Fuzzy identity-based encryption[M]//Advances in cryptology-Eurocrypt 2005.Berlin:Springer,2005:457-473.

[39] Bethencourt J,Sahai A,Waters B.Ciphertext-policy attribute-based encryption[C]//IEEE symposium on security and privacy.[s.l.]:IEEE,2007:321-334.

[40] Goyal V,Pandey O,Sahai A,et al.Attribute-based encryption for fine-grained access control of encrypted data[C]//Proceedings of the 13th ACM conference on computer and communications security.[s.l.]:ACM,2006:89-98.

[41] 李 雙,徐茂智.基于屬性的可搜索加密方案[J].計(jì)算機(jī)學(xué)報(bào),2014,37(5):1017-1024.

[42] 王少輝,韓志杰,肖 甫,等.指定測(cè)試者的基于身份可搜索加密方案[J].通信學(xué)報(bào),2014,35(7):22-32.

[43] 李 雙,袁 丁.具有匿名性的可搜索加密方案[J].計(jì)算機(jī)工程與設(shè)計(jì),2013,34(7):2286-2290.

[44] Huang J Y,Liao I E.A searchable encryption scheme for outsourcing cloud storage[C]//IEEE international conference on communication,networks and satellite.[s.l.]:IEEE,2012:142-146.

Survey on Searchable Encryption Mechanism

LI Xue1,LUO Sheng-mei2,DONG Zhen-jiang2,JIANG Xiao-wen1,SUN Zhi-xin1

(1.Key Laboratory of Broadband Wireless Communication and Sensor Network Technology of MOE, Nanjing University of Posts and Telecommunications,Nanjing 210003,China; 2.ZTE Corporation,Nanjing 210012,China)

With the development of cloud storage technology,there is an increasing number of companies and individuals outsourcing their data to cloud sever.As a result,efficient retrieval of encrypted data stored on cloud server has become the issue that users may pay attention to when selecting cloud services.The latest searchable encryption technologies are summarized by analysis of the research achievement of searchable encryption technologies at home and broad,and the existing study methods are divided into different categories such as searchable encryption mechanism of supporting key words and of facing various encryption and others.The improved methods and their advantage and disadvantage are analyzed,especially for the latest development in each category.Some existing problems including information leakage,poor practicability and low search efficiency are summarized and further studies in the future are pointed out.

cloud server;searchable encryption mechanism;public key encryption;symmetric encryption

2015-06-27

2015-10-14

時(shí)間：2017-01-04

國(guó)家自然科學(xué)基金資助項(xiàng)目(61672299,61373135)；江蘇省高校自然科學(xué)研究重大項(xiàng)目(12KJA520003)；中興通訊產(chǎn)學(xué)研項(xiàng)目

李 雪(1992-)，女，碩士研究生，研究方向?yàn)榛诰W(wǎng)絡(luò)的計(jì)算機(jī)軟件應(yīng)用技術(shù)；孫知信，博士，教授，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20170104.1017.010.html

TP31

A

1673-629X(2017)01-0097-06

10.3969/j.issn.1673-629X.2017.01.022